39 euros. Desde 39 euros se pueden adquirir en la dark web, la web oscura que queda fuera de los radares de Google, un kit para la distribución de ataques de ransomware. Es un dato que aporta Sophos, que además dice que el ransomware para emular los efectos de Wannacry o Petya está disponible en un formato fácil de usar para cualquier persona con pocas habilidades o conocimientos técnicos.
Estos kits de distribución, conocidos en el mundo de la ciberseguridad como ransomware-as-a-service (RaaS), han contribuido a que el azote del ransomware a nivel global haya empeorado en los últimos años, no solo porque son asequibles a nivel económico y funcional, sino porque su medición y detección son complicados.
Detrás de estos kits se desarrolla un negocio que funciona como cualquier empresa legitima que comercializa productos y servicios, ofreciendo con ellos vídeos tutoriales o foros de ayuda que facilitan el uso de los kits y así promover la mayor eficacia a la hora de infectar equipos. Además, los kits se pueden personalizar dependiendo de la necesidad del comprador.
En la dark web se pueden encontrar estas herramientas, que se pueden pagar en bitcoins o de manera gratuita si el 30% de los ingresos totales obtenidos de la campaña de ransomware se queda en manos de los desarrolladores. Por esta razón, Sophos ha realizado una investigación en la que ha profundizado en la dark web para localizar y analizar cómo los ciberdelincuentes crean y comercializan cinco de estos kits para RaaS. Estas son las conclusiones:
Philadelphia
Se trata de uno de los RaaS más sofisticados y conocidos del mercado, ya que tiene muchas opciones para personalizar, incluso precios especiales, y por solo 389 dólares uno puede obtener una licencia ilimitada completa. Sus creadores, Rainmakers Labs, dirigen su negocio de la misma manera que una empresa de software legítima lo haría para vender productos y servicios. Philadelphia se vende en la Internet profunda acompañado de un vídeo introductorio en YouTube explicando los aspectos prácticos del kit y cómo personalizar el ransomware con una variedad de opciones y funciones.
Stampado
Antes de crear Philadelphia, Rainmakers Labs desarrollaron Stampado, un kit que salió a la venta en el verano de 2016 por el precio de 39 dólares. En base a los resultados obtenidos en este primer RaaS, a finales de 2016 los desarrolladores decidieron crear Philadelphia, mucho más sofisticado y que incorporó gran parte de la estructura de Stampado.
Frozr Locker
Los kits FileFrozr se ofrecen por el precio de 0,14 bitcoins y tienen como objetivo cifrar los archivos de las víctimas que son infectadas. Eso sí, para empezar a usar este kit de ransomware, en la página de Frozr Locker se advierte que las personas que quieran hacer uso de éste deben previamente adquirir una licencia para usar el generador. Sus creadores incluso ofrecen soporte online para que sus clientes hagan preguntas y poder resolver dudas u problemas.
Satan
Este servicio afirma generar una muestra de ransomware que funciona y que se puede descargar de manera gratuita. Entre las características que ofrece, permite que el usuario establezca el precio y condiciones de pago, así como el pago por el rescate de la información y las herramientas de desbloqueo de la información de las víctimas que deciden pagar y reembolsa al creador del ransomware el 70% de los ingresos totales obtenidos en la campaña a través de bitcoin. Los creadores de Satan conservan el 30% de los ingresos totales de los rescates. Es decir que la tarifa por los servicios ofrecidos, fluctúa dependiendo del número de infecciones y pagos que el cliente pueda acumular.
En el momento de configurar un ataque de Satan, los clientes deben completar un formulario para configurar el esquema de pago, donde tienen que definir además del rescate, un periodo de días antes de que aumente el rescate y un valor por el que el rescate se multiplicará pasado el periodo establecido. Además, incluye un cuadro de captcha para asegurarse de que la persona que configura el ataque es real y no un ordenador o robot.
RaasBerry
SophosLabs detectó por primera vez este tipo de ransomware en julio de 2017. Se anunció en la dark web y, como la mayoría de ellos, permite al cliente personalizar sus ataques. Los pagos también se realizan en bitcoins a través de un correo electrónico que proporciona aquel que contrate este servicio. En este caso, el desarrollador se compromete a no participar de los beneficios del ataque. Los clientes pueden elegir entre cinco paquetes o niveles diferentes de suscripción que varían desde la suscripción de un mes hasta una suscripción platinum de 3 años.